Par défaut, toutes les données au repos dans Firestore en mode Datastore sont chiffrées à l'aide du chiffrement par défaut de Google. Firestore en mode Datastore traite et gère ce chiffrement sans intervention de votre part.
Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour Firestore en mode Datastore. Au lieu de laisser Google gérer les clés de chiffrement qui protègent vos données, votre base de données Firestore en mode Datastore est protégée à l'aide d'une clé que vous contrôlez et gérez dans Cloud Key Management Service (Cloud KMS).
Cette page décrit les CMEK pour Firestore en mode Datastore. Pour en savoir plus sur les CMEK en général, y compris quand et pourquoi les activer, consultez la documentation Cloud KMS. Pour découvrir comment effectuer des tâches liées aux CMEK avec Firestore en mode Datastore, consultez Utiliser CMEK.
Fonctionnalités
- Contrôle des données: la clé CMEK vous permet de gérer l'accès à la clé KMS. Vous pouvez effectuer une rotation, désactiver et détruire la clé utilisée pour chiffrer les données au repos dans votre base de données Firestore en mode Datastore.
- Performances: la fonctionnalité CMEK n'a aucune incidence sur le contrat de niveau de service de Firestore.
- Possibilité d'audit: si vous activez la journalisation d'audit pour Cloud KMS, toutes les opérations sur la clé sont journalisées et visibles dans Cloud Logging.
- Contraintes liées aux règles d'administration: vous pouvez utiliser les contraintes liées aux règles d'administration CMEK pour spécifier les exigences de conformité concernant le chiffrement pour les bases de données Firestore en mode Datastore de votre organisation.
Tarification
Cloud KMS facture le coût de la clé ainsi que toutes les opérations cryptographiques effectuées avec cette clé. Consultez les tarifs de Cloud KMS pour en savoir plus.
Les coûts d'opération vous sont facturés lorsque Firestore en mode Datastore demande à la clé Cloud KMS d'effectuer une opération de chiffrement ou de déchiffrement. Le chiffrement/déchiffrement n'est pas synchronisé avec votre requête. Toutes les 5 minutes, interroge Cloud KMS. Les coûts sont généralement faibles, compte tenu du nombre attendu d'opérations cryptographiques générées par Firestore en mode Datastore. Les coûts liés à Cloud Audit Logs représentent des dépenses supplémentaires, mais devraient également être généralement faibles, compte tenu du nombre prévu d'opérations cryptographiques.
L'utilisation d'une base de données protégée par CMEK n'entraîne aucuns frais supplémentaires pour Firestore en mode Datastore, et les tarifs de Firestore en mode Datastore continuent de s'appliquer.
Si vous révoquez votre clé dans une base de données, le coût de stockage sera facturé en fonction de la taille du dernier jour où la clé était disponible. Des frais de stockage à cette taille de base de données continueront d'être facturés jusqu'à ce que la base de données soit supprimée ou que la clé soit à nouveau disponible.
Éléments protégés par CMEK
Lorsque vous créez une base de données Firestore protégée par une clé CMEK, votre clé Cloud KMS est utilisée pour protéger les données au repos. Cela inclut les données stockées sur disque ou flash. Certaines exceptions s'appliquent. Les types de données suivants sont chiffrés avec le chiffrement par défaut de Google et non par la clé CMEK:
- Les données en transit ou en mémoire
- Métadonnées de base de données
Traitement de l'état d'indisponibilité d'une clé
Les opérations de chiffrement et de déchiffrement ne sont pas émises à chaque demande de données. À la place, le système Firestore interroge Cloud Key Management Service toutes les cinq minutes pour vérifier si la clé est toujours disponible, puis effectue des opérations de chiffrement et de déchiffrement si la clé est disponible. Si le système détecte que la clé n'est pas disponible, dans les 10 minutes, tous les appels ultérieurs à la base de données Firestore, y compris les lectures, les écritures et les requêtes, renvoient une erreur FAILED_PRECONDITION avec le message The customer-managed encryption key required by the requested
resource is not accessible. Si la base de données comporte des règles de valeur TTL (Time To Live) et si des délais d'expiration sont dépassés alors que la clé est indisponible, la suppression des données par la valeur TTL sera retardée jusqu'à ce que la clé soit rétablie. Si des opérations de longue durée sont en cours dans la base de données, elles seront affectées comme suit:
- Les opérations d'import ou d'exportation de données cesseront de progresser et seront marquées comme
Failed. Les opérations ayant échoué ne seront pas relancées si la clé est rétablie. - Les opérations de création d'index et les opérations activant de nouvelles règles TTL cesseront de progresser. Les opérations arrêtées seront relancées si la clé est rétablie.
Une clé est considérée comme indisponible dans toute situation qui empêche intentionnellement l'accès de Firestore à la clé. Notre offre comprend :
- Désactiver ou détruire la version de clé en cours d'utilisation Soyez prudent lorsque vous détruisez une version de clé, car cela peut entraîner des pertes de données irrécupérables.
- Supprimez l'autorisation d'accéder à la clé du compte de service Firestore.
Si la clé est rétablie, l'opération d'interrogation détecte que la clé est à nouveau disponible. L'accès est réactivé généralement en quelques minutes, mais dans de rares cas, quelques heures peuvent s'écouler. Notez que la propagation de certaines opérations sur les clés Cloud KMS, telles que la désactivation ou la destruction d'une clé, peut prendre jusqu'à trois heures. Firestore ne détecte les modifications qu'après leur application dans Cloud KMS.
Le rétablissement d'une clé implique les opérations suivantes, en fonction de la situation:
- la réactivation d'une version de clé désactivée ;
- Restaurer une version de clé détruite. Avant d'être détruite définitivement, la destruction d'une version de clé est programmée. Vous ne pouvez restaurer une clé que pendant la période pendant laquelle la destruction d'une version de clé est programmée. Vous ne pouvez pas restaurer une clé qui a déjà été définitivement détruite.
- Accordez à nouveau à l'agent de service Firestore l'autorisation d'accéder à la clé.
Remarques importantes concernant les clés externes
Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes.
Si une clé gérée en externe n'est pas disponible, Firestore en mode Datastore continue à gérer l'ensemble des opérations de base de données à l'aide d'une version mise en cache de la clé, pendant une durée maximale d'une heure.
Après une heure, si Firestore en mode Datastore ne parvient toujours pas à se connecter à Cloud KMS, Firestore en mode Datastore commence à mettre la base de données hors connexion afin de protéger l'accès. Les appels à la base de données échoueront avec une erreur FAILED_PRECONDITION comprenant des informations supplémentaires.
Pour en savoir plus sur l'utilisation de clés externes, consultez la documentation Cloud External Key Manager.
Limites
- Il n'est pas possible de modifier une clé pour une base de données protégée par une clé CMEK. La rotation, l'activation et la désactivation des clés sont acceptées.
- Les planifications de sauvegarde et les opérations de restauration ne sont pas compatibles avec les bases de données protégées par des clés CMEK. Vous pouvez utiliser la récupération à un moment précis pour la reprise après sinistre.
- Les bases de données protégées par des CMEK n'acceptent Key Visualizer que pour les données d'entité et de document, et non pour les données d'index.
- Vous ne pouvez pas activer les CMEK sur les bases de données existantes. Vous ne pouvez activer les CMEK que sur les nouvelles bases de données. Vous devez l'activer lorsque vous créez la base de données. Pour migrer des données d'une base de données non CMEK existante vers une base de données protégée par CMEK, exportez-les et importez-les vers une nouvelle base de données protégée par CMEK.
- Le suivi des clés n'est pas disponible pour les bases de données protégées par des clés CMEK.
- Pendant la phase preview, Firestore n'acceptera qu'un nombre limité de bases de données protégées par des CMEK.